Перейти к содержимому
Local
bot

VPNFilter может оказаться на бОльшем количестве устройств

Рекомендованные сообщения

Стали известны дополнительные подробности о вредоносном ПО VPNFilter, поразившем более 500 тысяч домашних маршрутизаторов. Кроме атак на устройства производства Linksys, MikroTik, Netgear, TP-Link и QNAP факты компрометации также выявлены для различных моделей маршрутизаторов и беспроводных точек ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE (общий список вовлечённых в атаку моделей увеличился с 16 до 72). По новым данным образованный вредоносным ПО VPNFilter ботнет может включать на 200 тысяч устройств больше, чем предполагалось изначально.

Помимо модулей для анализа трафика и обращения к управляющему серверу через Tor выявлено два новых модуля-плагина, подгружаемых вредоносным ПО для проведения определённых видов атак:

ssler - модуль для проведения MITM-атак по перехвату и модификации незащищённого web-трафика, проходящего через 80 сетевой порт. Модуль может прикреплять к web-страницам JavaScript-код для эксплуатации уязвимостей в браузерах и сохранять фигурирующие в запросах пароли и идентификаторы сеансов, а также отслеживать обращение к сайтам, подобным accounts.google.com.
Модуль непосредственно не поддерживает анализ HTTPS, но заменяет в проходящих через него незашифрованных web-страницах, запросах и HTTP-заголовке Location все ссылки "https://" на " http://", вырезает заголовки CSP, а также вычищает в заголовке Accept-Encoding данные о поддержке gzip-сжатия. Подмена приводит к тому, что клиент начинает обращаться к https-ресурсам по http:// без шифрования. Для сайтов google.com, twitter.com, facebook.com и youtube.com, которые поддерживают только HTTPS, незашифрованные HTTP-запросы клиента транcлируются в исходящие запросы HTTPS;

dstr (device destruction) - модуль для перезаписи файлов прошивок, который повреждает прошивку для приведения устройств к невозможности загрузки (для восстановления требуется перепрошивка с использованием специального оборудования). Модуль вначале пытается удалить файлы и процессы, связанные с VPNFilter, после чего инициирует операцию очистки Flash через заполнение файлов-устройств /dev/mtdX значением 0xFF, а затем выполнение команду "rm -rf /*" для удаления данных в оставшихся ФС.
Обновлённый список оборудования, которое поражает VPNFilter:

Asus RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U;
D-Link DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N;
Huawei HG8245;
Linksys E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N;
Mikrotik CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5;
Netgear DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50;
QNAP TS251, TS439 Pro и другие модели на базе ПО QTS;
TP-Link R600VPN, TL-WR741ND, TL-WR841N;
Ubiquiti NSM2 и PBE M5;
Upvel (конкретные модели не сообщаются)
ZTE ZXHN H108N.


Пользователям отмеченных устройств рекомендуется как минимум перезагрузить устройство, но данное действие приведёт лишь к временной деактивации основного компонента вредоносного ПО, так как код загрузчика VPNFilter интегрируется в прошивку и не удаляется после перезагрузки. Правоохранительные органы проделали работу по блокировке серверов для автоматической загрузки основной части VPNFilter, но в загрузчике вредоносного ПО остаётся возможность пассивного отслеживания в трафике специальных пакетов с данными о новом хосте для подключения.

В некоторых моделях устройств можно избавиться от загрузчика вредоносного ПО через сброс к заводским настройкам (следует удерживать кнопку на задней панели от 5 до 10 секунд). Желательной мерой является обновление прошивки, а также установка надёжного пароля, отключение дополнительных протоколов удалённого управления и ограничение внешнего доступа к устройству и его web-интерфейсу.

Проверка наличия вредоносного ПО в устройстве проблематична, так как VPNFilter может находиться в пассивном режиме и никак не проявлять себя. В качестве действенной меры определения VPNFilter упоминается сохранение дампа текущей прошивки и сравнение контрольной суммы с эталонным вариантом от производителя, но данный метод слишком сложен для рядовых пользователей. Также возможен разбор начинки прошивки: о наличии вредоносного ПО в системе может указывать наличие файлов/каталогов /var/run/vpnfilter, /var/tmp/client.key, /tmp/client.key, /etc/init/security, /etc/loader/init.x3, /etc/devel-login или /etc/loader/.

 

источник: opennet

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тплинк включил дурочку и заявил, что первоначально заявленная в списке модель TL-R600VPN уязвимости не имеет и атакам не подвержена

Цитата

На текущий момент нам не поступали сообщения относительно новых угроз. Что касается старых угроз, они были устранены посредством выпуска новой версии ПО.

http://www.tp-link.ua/ru-ua/faq-2213.html

при этом данная модель имеет 4 аппаратных ревизии и только для v4 выпущено несколько версий ПО, а у более старых релизов написано, что это вообще первая версия ПО, как там уже может быть что-то устранено -- неясно

Изменено пользователем zaborovsky

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

товагищи, да это же страшная штука, у меня овер 100 микротиков (не клиентских)

чо официалы говорят?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня один крупный юрик с CCR в качестве бордера уже пал жертвой храбрых. Пришел отчет от киберов с данным IP и у самого юрика все начало глючить хаотически..

Чинили их одмины весь день, вроде живы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, KaYot сказал:

У меня один крупный юрик с CCR в качестве бордера уже пал жертвой храбрых. Пришел отчет от киберов с данным IP и у самого юрика все начало глючить хаотически..

Чинили их одмины весь день, вроде живы.

А про отчет подробнее можно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как-то так. Кроме этого рассылали таблицу с полями вида ip-netname-owner, там этот IP тоже фигурировал.

viber image.jpg

Изменено пользователем KaYot

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На микроте  2000 порт по умолчанию открыт !   Оключайте бендвиш тест . На аналолизаторе видно что идет постоянное сканирование  этого порта ,   3 IP из сети /22 сработали по сигнатуре ( stage 1 ), около 200 ip  из нета у меня попали в лист подозрительных.

Изменено пользователем Ajar

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А х86 подвержены этой гадости?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так, я что-то походу пропустил, обновление до 6.42.3 не помогает?

У меня только один из микротов имеет доступ в интернет (белый ай-пи) - на основе х86. На нем включен фаервол, из сети проходит только пинг, input зарезан, разрешено только established для работы dns-сервера, всё остальное drop.

В "сервисах" включен винбокс, ссш, веб, но всё с доступом только в локальные подсети.

2000 порт закрыл.

Можно быть спокойным?

 

Микроты, которые исключительно в локальной сети, без прямого доступа в интернет - за них можно не переживать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А хтось знає як виявити чи mikrotik вже заражений?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сегодня у знакомого перестал нормально работать микротик. pppoe сессию поднимает. В мир был открыт только винбокс, а стал отвечать и по портам 22,23, но пароли не подходят. Версия была 6.42.2. Сбросили, накатили 6.42.3 и бекап, закрыли все с наружи. До этого 2 недели назад на версии 6.3-с чем-то сильно тормозил. Торчем было видно что он сканировал порты 8291 и загрузка проца была близка к 100%. Тогда просто обновили до 6.42.2, пароли не меняли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пока что верняк - полный реинсталл через нетинсталл

  • Thanks 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Заражаються только микротики с белым IP на интерфейсе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У моего знакомого Микротик RB 941-2ND перестал работать, через Лан нивкакую не пускало. Reset  не помог (там правда и прошивка старенькая  была 6.32), но через вайфай пустило,  прошил на 6.42.3, все заработало. Правда я и не рыл долго что там могло быть причиной.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот на медне обнаружился клиент с тплинком. Симтомы не работает инет в статистике клиент флудит по днс очень частые обрывы и пять минут работает и все уходит в нирвану . По приезду к клиенту роутер на веб морду не пускает (точнее она не открывается )при этом пинг через роутер проходит и трасса тоже, а вот днс отклика нет. После ребута роутера все начинает работать и на морду пускает НО!У нас авторизация пппое все настройки приходят автоматом но днс сервера не наши вручную на роутере не прописаны изменить днс не дает. Лечение смена прошивки и замена пароля админа (мы меняем на пароль который на обратке девайса пин)так и клиент вкурсе и другой техник разберется.Скрины с веб морды ниже что за роутер и какие левые днс получает.

 

P80609-163119(1).jpg

P80609-163136.jpg

Изменено пользователем max_m

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попадался на микротике клиент с такими же днс на прошлой неделе. Тоже клялся что не менял сам ничего, вебморда по умолчанию закрыта извне. Пароли на вебморду не подходили. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тоже на микротике 3011 заметили что проц начал нагружаться в 2 раза больше, но работало нормально. Перешились 6,37 на 6,42 , начало рвать пинги скорость упала, 6,43rc перестало пускать через winbox (неправильный логин, пароль), перешились обратно на 6,37 - всё норм, но опять проц нагрузился. Ресет, прошивка на 6,42,3 , залили обратно бэкап  - всё норм. На микротике из сервисов разрешен был только winbox.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
13 часов назад, max_m сказал:

У нас авторизация пппое все настройки приходят автоматом но днс сервера не наши вручную на роутере не прописаны изменить днс не дает.

inetnum:        176.107.176.0 - 176.107.183.255
netname:        DELTAHOST-NET
remarks:        ====================================
remarks:        DeltaHost - VPS, VDS, dedicated servers
remarks:        in Ukraine & Netherlands
remarks:        ====================================
remarks:        Complaints: abuse@deltahost.com.ua
remarks:        ====================================
descr:          FOP Zemlyaniy Dmitro Leonidovich

 

 

PS: Зема, не твой родственник ? 😄

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, sanyadnepr сказал:

inetnum:        176.107.176.0 - 176.107.183.255
netname:        DELTAHOST-NET
remarks:        ====================================
remarks:        DeltaHost - VPS, VDS, dedicated servers
remarks:        in Ukraine & Netherlands
remarks:        ====================================
remarks:        Complaints: abuse@deltahost.com.ua
remarks:        ====================================
descr:          FOP Zemlyaniy Dmitro Leonidovich

 

 

PS: Зема, не твой родственник ? 😄

Это ты к чему ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

  • Похожие публикации

    • Автор: bot
      Компания Intel опубликовала сведения о новой уязвимости (CVE-2018-3665) в механизме спекулятивного выполнения инструкций, которая получила кодовое название LazyFP. Проблема затрагивает только процессоры линейки Intel Core и проявляется при использовании "ленивого" (lazy) режима переключения контекста FPU, при котором реальное восстановление состояния регистров производится не сразу после переключения контекста, а только при выполнении первой инструкции, которая манипулирует восстанавливаемыми регистрами. На чипах Intel Atom/Knights и CPU AMD проблема не проявляется.

      Уязвимости присвоен средний уровень опасности (CVSS 4.3 из 10) - через проведение атаки по сторонним каналам атакующий может определить значения регистров FPU, MMX, SSE, AVX и AVX-512, используемых другим процессом. Например, в данных регистрах могут содержаться параметры для криптографических вычислений и имеющий доступ к локальной системе злоумышленник может попытаться использовать их для определения ключа шифрования. При использовании систем виртуализации проблема может применяться для определения состояния регистров другой гостевой системы или другого процесса в текущей гостевой системе.

      По своей сути уязвимость LazyFP близка к обнародованной в конце мая проблеме Spectre 3a (CVE-2018-3640, RSRE - Rogue System Register Read). Публикация детального описания атаки отложена до августа по просьбе представителей Intel, чтобы дать пользователям время для установки исправлений. В качестве меры для блокирования уязвимости рекомендуется разработчикам ОС перейти от использования режима Lazy FP к режиму Eager FP через установку соответствующих флагов XSAVE или XCR0. Предложенный метод защиты не оказывает негативного влияния на производительность.

      В ядре Linux защита была реализована ещё в феврале 2016 года, путём применения по умолчанию режима Eager FP (eagerfpu=on) и удаления возможности активации Lazy FP. Уязвимость затрагивает ядра Linux до версии 4.6 или системы с процессорами без поддержки инструкции XSAVE (до Sandy Bridge), в которых по умолчанию применялся режим Lazy FP. В старых ядрах Linux для защиты можно использовать опцию "eagerfpu=on", которая присутствует начиная с ядра 3.7. Обновления пакетов с ядром подготовлены для Debian и ожидаются для Ubuntu, SUSE/openSUSE и RHEL (RHEL 7 подвержен уязвимости частично, так как уже использует по умолчанию режим переключения контекста Eager FP на CPU Intel Sandy Bridge и более новых системах). Патчи с устранением проблемы также приняты в кодовые базы FreeBSD, OpenBSD и DragonflyBSD. Отдельно исправления выпущены для гипервизора Xen.

      https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00145.html

      Источник: Opennet
    • Автор: bot
      Операторы VPNFilter создали новый ботнет, атакующий маршрутизаторы Mikrotik с открытым портом 2000.

      В конце мая общественность всколыхнуло известие о масштабной вредоносной кампании, в рамках которой злоумышленники заразили высокотехничным ПО VPNFilter по меньшей мере 500 тыс. маршрутизаторов и устройств хранения данных по всему миру. Как предполагалось, кампания была связана с подготовкой масштабной кибератаки на Украину в преддверии финала футбольной Лиги чемпионов в Киеве 26 мая. Сотрудникам Федерального бюро расследований США удалось обезвредить ботнет, но, судя по всему, организаторы кампании не намерены останавливаться.

      По данным экспертов JASK и GreyNoise Intelligence, операторы VPNFilter создали новый ботнет, атакующий маршрутизаторы Mikrotik с открытым портом 2000, причем злоумышленников интересуют исключительно устройства, расположенные в украинских сетях. Данный факт не стал сюрпризом для исследователей - в начале первой кампании VPNFilter инфицировал маршрутизаторы и NAS-устройства по всему миру, однако с 8 мая переключился на роутеры в Украине. Более того, инфраструктура предыдущей версии ботнета включала C&C-сервер, предназначенный для управления только украинскими маршрутизаторами, отдельно от основного ботнета.

      VPNFilter считается одной из наиболее «продвинутых» программ для инфицирования IoT-устройств. Она включает три типа вредоносных модулей: первый обеспечивает присутствие вредоноса на устройстве даже после перезагрузки, функционал второго напоминает троян для удаленного доступа, а третий модуль добавляет дополнительные функции. По словам экспертов, VPNFilter способен стирать прошивку, проводить мониторинг локального трафика, поддерживать связь через Tor и осуществлять сканирование на предмет трафика ICS-устройств в локальной сети. Как правило, подобный функционал характерен для вредоносного ПО, используемого правительственными хакерскими группировками.

      Как полагают ФБР и Министерство внутренней безопасности США, за кампанией VPNFilter может стоять группировка APT28, также известная как Fancy Bear, предположительно связанная с РФ.
       
      источник: securitylab
    • Автор: Mushegh
      Доброго времени суток. Подскажите пожалуйста, возможно ли изолировать порты между собой, если к одному ону подключены 4 разных пользователя на разных портах? Спасибо.
      ОЛТ - Zte-C320   ОНУ - Zte-F660
    • Автор: bot
      На сайте Cisco Talos сообщается, что вирусом поражены примерно 500 тысяч устройств в 54 странах мира, но именно в Украине инфицирование идет активнее всего. Компания Cisco Systems Inc. заявила , что хакеры, «за которыми стоит правительство России», возможно, готовят масштабную кибератаку на госструктуры Украины.

      Вредоносное программное обеспечение, получившее условное название VPNFilter, поражает сетевую аппаратуру, в частности роутеры и накопители. С помощью утилиты злоумышленники могут не только похищать данные о сайтах, но и выводить из строя цифровые устройства.

      По данным Cisco, VPNFilter заражает устройства Linksys, MikroTik, Netgear и TP-Link потребительского и офисного сегментов, а также сетевые накопители (NAS) производства Qnap. Защита от нее затруднена, поскольку уязвимые устройства - это в основном периферия без технологии сетевой защиты IPS и антивируса.

      Эксперты Talos отмечают сходство VPNFilter с вредоносными программами хакерской группы Blackenergy, которой приписывается авторство вирусов Petya/NotPetya. Вирус NotPetya в июне 2017 г. атаковал сети украинских министерств, банков, мобильных операторов, крупных предприятий. Нападению также подверглись системы США, Индии и Дании. Кроме того, на атаку пожаловались и российские компании, среди которых «Роснефть» и «Башнефть». Всего вирус Petya (NotPetya и ExPetr) проник в 12 500 компьютеров в 65 странах.

      Служба безопасности Украины заявила, что подготовка кибератаки приурочена к финалу футбольной Лиги чемпионов в Киеве, который состоится 26 мая. «Подобные атаки отмечались по всему миру начиная с 2016 года. Однако, по полученной информации, на этот раз географическая нацеленность атаки направлена именно на украинский сегмент сети интернет»,— говорится в сообщении СБУ.
       
      Источник: securitylab
×